保護使用者健康資料的存取
HealthKit 為 iPhone 和 Apple Watch 上的健康和健身資料提供了一個中央儲存庫。HealthKit 也可直接用於健康與健身裝置,如相容的低功耗藍牙(BLE)心率監視器以及許多 iOS 裝置內建的動作副處理器。HealthKit 和健康與健身 App、醫療機構及健康與健身裝置之間的所有互動,都需要使用者的權限。此資料會儲存在「未打開檔案的保護」這個「資料保護」類別中。裝置鎖定後 10 分鐘便會捨棄資料存取權,當使用者下次輸入密碼或使用 Face ID 或 Touch ID 來解鎖裝置時,即可再次存取資料。
收集和儲存健康與健身資料
HealthKit 也會收集和儲存管理資料,如 App 的存取權限、連接 HealthKit 的裝置名稱及排程資訊(用來在新資料可用時啟動 App)。此資料會儲存在「資料保護」類別的「首次使用者認證前的保護」中。臨時日誌檔會儲存裝置鎖定時產生的健康記錄(例如當使用者從事運動時)。這些臨時日誌檔會儲存在「未打開檔案的保護」這個「資料保護」類別中。當裝置解鎖時,會將臨時日誌檔輸入主要的健康資料庫中,然後在合併作業完成時刪除。
健康資料可儲存在 iCloud 中。「健康」資料的端對端加密需要 iOS 12 或以上版本及雙重認證。否則,使用者的資料仍會在儲存與傳輸期間加密,但不會以端對端加密。使用者開啟雙重認證並更新至 iOS 12 或以上版本後,其健康資料會移轉到端對端加密。
若使用者以 Finder(macOS 10.15 或以上版本)或 iTunes(macOS 10.14 或較早版本)備份裝置,只有在備份經過加密的情況下才會儲存健康資料。
臨床健康記錄
使用者可以在「健康」App 內登入支援的健康系統,以取得一份臨床健康記錄。將使用者連接到健康系統時,使用者需使用 OAuth 2 用戶端憑證進行驗證。連線成功後,便會使用受到 TLS 1.3 保護的連線,直接從醫療機構下載臨床健康記錄資料。下載資料後,臨床健康記錄會安全地與其他健康資料一起儲存。
健康資料真實性
儲存在資料庫中的資料包含追蹤每筆資料記錄出處的後設資料。此後設資料包含 App 識別碼,可識別哪個 App 儲存了該記錄。此外,選擇性的後設資料項目可包含記錄的數位簽章副本。其用意是為記錄(由受信任之裝置所產生)提供資料真實性。用於數位簽章的格式為 RFC 5652 中所指定的加密編譯訊息語法(Cryptographic Message Syntax,CMS)。
第三方 App 存取「健康」資料
對 HealthKit API 的存取是使用授權來控制,而 App 必須符合資料使用方式的限制。例如,App 不允許將健康資料用於廣告用途。App 也必須提供隱私權政策給使用者,並詳述其對健康資料的使用方式。
App 對健康資料的存取權是受使用者的「隱私權」設定所控制。當 App 要求存取健康資料時(類似於「聯絡人」、「照片」和其他 iOS 資料來源),系統會要求使用者授予存取權。然而,使用健康資料時,App 會獲得讀取和寫入資料的獨立存取權,以及各種類型健康資料的獨立存取權。使用者可以在「設定」>「健康」>「資料權限與裝置」底下檢視和撤銷他們授予存取健康資料的權限。
若 App 取得寫入資料的權限,便也可讀取其寫入的資料。若 App 取得讀取資料的權限,便可讀取所有來源所寫入的資料。然而,App 無法判定其他 App 被授予的存取權。此外,App 無法確切得知它們是否已獲得健康資料的讀取存取權。當 App 沒有讀取權時,所有查詢並不會傳回資料—就如同空白資料庫會傳回的相同回應一樣。此設計用意可避免 App 藉由得知使用者正在追蹤的資料類型,來推測使用者的健康狀態。
使用者的「醫療卡」
「健康」App 可讓使用者選擇填寫「醫療卡」表單和發生緊急醫療事故時所需的重要資料。此資訊是手動輸入或更新,並不會與健康資料庫中的資料進行同步。
你可點一下「鎖定畫面」上的「緊急服務」按鈕來檢視「醫療卡」資訊。此資訊會使用「無保護」這個「資料保護」類型來儲存於裝置上,如此一來無須輸入裝置密碼即可存取。「醫療卡」是選擇性的功能,可讓使用者決定如何同時在安全性和隱私考量上取得平衡點。此資料在 iOS 13 或更早版本上會備份在「iCloud 備份」中。在 iOS 14 中,「醫療卡」會使用 CloudKit 在裝置間同步,並具有與其餘健康資料相同的加密特性。
健康分享
在 iOS 15 中,「健康」App 為使用者提供了與其他使用者分享「健康」資料的選項。「健康」資料會使用端對端 iCloud 加密在兩位使用者之間分享,而 Apple 無法取用透過「健康」分享所傳送的資料。若要使用此功能,傳送的使用者和接收的使用者都必須執行 iOS 15 或以上版本並啟用雙重認證。
使用者也可以選擇使用「健康」App 中的「與提供者分享」功能,與他們的醫療服務提供者分享他們的「健康」資料。使用此功能分享的資料僅供使用者使用端對端加密所選的醫療機構使用,Apple 並不會維護或取用加密密鑰來解密、檢視或以其他方式取用透過「與提供者分享」功能所分享的「健康」資料。若要進一步瞭解此服務設計如何保護使用者的「健康」資料,請參閱 Apple 醫療服務組織註冊指南(Apple Registration Guide for Healthcare Organizations)的「安全性與隱私」章節。